由于时间/日期差异，远程桌面无法验证远程计算机的身份

当我尝试通过 RDP 连接到 AD 域中的远程服务器时，遇到以下错误。为 RDP 用户指定正确的域凭据后，出现错误消息（如下所示）并且 RDP 客户端窗口关闭。

远程桌面无法验证远程计算机的身份，因为您的计算机与远程计算机之间存在时间或日期差异。确保您的计算机时钟设置为正确的时间，然后再次尝试连接。如果问题再次出现，请联系您的网络管理员或远程计算机的所有者。

从错误中可以看出，RDP 客户端无法使用 Kerberos 进行身份验证，因为本地计算机和远程计算机之间的时间差超过 5 分钟。但就我而言，事实证明事实并非如此：通过 ILO 打开远程服务器控制台后，我确保两台计算机上的时间和时区相同（并且是从同一源 NTP 服务器获取的）。

您可以尝试使用以下命令检查远程计算机上的时间：

net time \remote-computer-IP-address

您可以手动同步时间以防万一并重新启动 w32time 服务：

w32tm /config /manualpeerlist:your_ntp_server_ip NTP,0x8 /syncfromflags:manual
net stop w32time & net start w32time & w32tm /resync

本文介绍了计算机上时间可能错误的一些其他原因。

提示。如果远程服务器是虚拟机，请确保虚拟机设置中是否禁用了与主机管理程序的时间同步。

如果您可以物理访问远程计算机（我可以通过 HPE ILO 控制台进行访问），请检查网络适配器设置中的 DNS 服务器。另请确保您可以从远程服务器访问此 DNS 服务器。使用以下命令更容易做到这一点：

nslookup some_server_name DNSServername

如果 DNS 服务器没有响应，请确保其正常工作或尝试指定另一个 DNS 服务器地址。

如果远程计算机使用多个网络适配器，请确保访问 DNS 服务器时路由表正确。计算机可能会尝试使用不同 IP 子网的另一个网络适配器访问 DNS 服务器。

尝试在 RDP 客户端连接窗口中使用IP 地址而不是完整的 FQDN DNS 名称连接到远程计算机。在这种情况下，Kerberos 将不会用于身份验证。

确保与AD域存在信任关系。为此，请运行以下 PowerShell 命令：

Test-ComputerSecureChannel

如果存在可信关系，则返回True。

要修复与 Active Directory 域的信任关系，可以使用以下命令：

Test-ComputerSecureChannel -Repair -Credential contoso\your_admin_account_name

如果出现错误“

Test-ComputerSecureChannel : Cannot reset the secure channel password for the computer account in the domain. Operation failed with the following exception: The server is not operational

出现时，请从服务器检查域控制器的可用性，并使用 portqry 工具打开“域和信任”服务的 TCP/UDP 端口。

确保在本地和远程计算机上选择相同的“RDP 安全层”。可以使用 GPO 部分计算机配置 -> 管理模板 -> Windows 组件 -> 远程桌面服务 -> 远程桌面会话主机 -> 安全性中的“要求对远程 (RDP) 连接使用特定安全层”策略来设置此参数，方法是选择不太安全的 RDP 级别，如本文所述。或者使用以下注册表项执行此操作：HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\SecurityLayer。

还建议确保问题与 CredSSP 协议的最新更改无关。